Я работаю над Расширение Google TOTP для Play-Silhouette, см. соответствующий проект Play-Silhouette-Seed здесь, и мне интересно, чувствительны ли к порядку скретч-коды или коды восстановления. Под чувствительностью к порядку я подразумеваю, что они должны быть использованы один раз и в указанном порядке, вроде кодов разблокировки мобильного телефона PIN/PUK/PUK2.
Еще один связанный с этим вопрос ... это очевидно, но лучше быть уверенным. Хранятся ли скретч-коды так же, как и пароли? тоже зашифровано и солено? Думаю, имело бы смысл относиться к ним как к паролям... или?
«Скретч-коды» вообще не являются частью TOTP, это просто механизм, который можно использовать в случае потери профиля TOTP. Поэтому для них нет ни стандартов, ни рекомендаций.